Conceitos do AWS IAM Identity Center para a AWS CLI
Este tópico descreve os principais conceitos do AWS IAM Identity Center (Centro de Identidade do IAM). O Centro de Identidade do IAM é um serviço do IAM baseado em nuvem que simplifica o gerenciamento de acesso de usuários em várias Contas da AWS, aplicativos, SDKs e ferramentas por meio da integração com os provedores de identidade (IdP) existentes. Ele permite login único seguro, gerenciamento de permissões e auditoria por meio de um portal de usuário centralizado, simplificando a governança de identidade e acesso para organizações.
Tópicos
O que é o Centro de identidade do IAM
O Centro de Identidade do IAM é um serviço de gerenciamento de identidade e acesso (IAM) baseado na nuvem que permite gerenciar de forma centralizada o acesso a várias Contas da AWS e aplicativos comerciais.
Ele fornece um portal de usuário onde usuários autorizados podem acessar as Contas da AWS e os aplicativos para os quais receberam permissão, usando suas credenciais corporativas existentes. Isso permite que as organizações apliquem políticas de segurança consistentes e simplifiquem o gerenciamento do acesso dos usuários.
Independentemente do IdP que você usa, o IAM Identity Center abstrai essas distinções. Por exemplo, é possível conectar o Microsoft Azure AD conforme descrito no artigo de blog The Next Evolution in IAM Identity Center
nota
Para obter informações sobre como usar o bearer auth, que não usa ID de conta e perfil, consulte Configuração para usar a AWS CLI com o CodeCatalyst no Guia do usuário do Amazon CodeCatalyst.
Termos
Os termos comuns ao usar o Centro de Identidade do IAM são os seguintes:
- Provedor de identidade (IdP)
-
Um sistema de gerenciamento de identidade, como o Centro de Identidade do IAM, o Microsoft Azure AD, o Okta ou seu próprio serviço de diretório corporativo.
- AWS IAM Identity Center
-
O Centro de Identidade do IAM é o serviço de IdP de propriedade da AWS. Anteriormente conhecidos como AWS Single Sign-On, os SDKs e as ferramentas mantêm os namespaces da API da
ssopara compatibilidade com versões anteriores. Para obter mais informações, consulte Renomear o IAM Identity Center no Guia do usuário do AWS IAM Identity Center. - Portal de acesso da AWS
-
Seu URL exclusivo do Centro de Identidade do IAM para acessar suas Contas da AWS, serviços e recursos autorizados.
- Federação
-
O processo de estabelecer a confiança entre o Centro de Identidade do IAM e um provedor de identidade para habilitar a autenticação única (SSO).
- Contas da AWS
-
As Contas da AWS às quais você fornece acesso aos usuários por meio da AWS IAM Identity Center.
- Conjuntos de permissões, credenciais da AWS, credenciais, credenciais sigv4
-
Coleções predefinidas de permissões que podem ser atribuídas a usuários ou grupos aos quais conceder acesso a Serviços da AWS.
- Escopos de registro, escopos de acesso, escopos
-
Os escopos são um mecanismo no OAuth 2.0 para limitar o acesso de uma aplicação à conta de um usuário. Um aplicativo pode solicitar um ou mais escopos, e o token de acesso emitido para o aplicativo está limitado aos escopos concedidos. Para obter informações sobre escopos, consulte Escopos de acesso do OAuth 2.0 no Guia do usuário do Centro de Identidade do IAM.
- Tokens, token de atualização, token de acesso
-
Os tokens são credenciais de segurança temporárias que são emitidas para você após a autenticação. Esses tokens contêm informações sobre sua identidade e as permissões que você recebeu.
Quando você acessa um aplicativo ou recurso da AWS por meio do portal do Centro de Identidade do IAM, seu token é apresentado para a AWS para autenticação e autorização. Isso permite que a AWS verifique sua identidade e garanta que você tenha as permissões necessárias para realizar as ações solicitadas.
O token de autenticação é armazenado em cache no disco sob o diretório
~/.aws/sso/cachecom um nome de arquivo JSON baseado no nome da sessão. - Sessão
-
Uma sessão do Centro de Identidade do IAM se refere ao período em que um usuário é autenticado e autorizado a acessar aplicativos ou recursos da AWS. Quando um usuário faz login no portal do Centro de Identidade do IAM, uma sessão é estabelecida e o token do usuário é válido por um período especificado. Para obter mais informações sobre como configurar as durações da sessão, consulte Configurar a duração da sessão no Guia do usuário do AWS IAM Identity Center.
Durante a sessão, você pode navegar entre aplicativos e contas da AWS diferentes sem precisar se autenticar novamente, desde que a sessão permaneça ativa. Quando a sessão expirar, entre novamente para renovar seu acesso.
As sessões do Centro de Identidade do IAM ajudam a fornecer uma experiência de usuário perfeita, além de aplicar as melhores práticas de segurança ao limitar a validade das credenciais de acesso do usuário.
Como o Centro de Identidade do IAM funciona
O Centro de Identidade do IAM se integra ao provedor de identidade da sua organização, como o Centro de Identidade do IAM, o Microsoft Azure AD ou o Okta. Os usuários se autenticam nesse provedor de identidade e, em seguida, o Centro de Identidade do IAM mapeia essas identidades de acordo com as permissões e o acesso apropriados em seu ambiente da AWS.
O fluxo de trabalho do Centro de Identidade do IAM a seguir pressupõe que você já tenha configurado sua AWS CLI para usar o Centro de Identidade do IAM:
-
No terminal de sua preferência, execute o comando
aws sso login. -
Faça login no seu Portal de acesso da AWS para iniciar uma nova sessão.
-
Ao iniciar uma nova sessão, você recebe um token de atualização e um token de acesso que está armazenado em cache.
-
Se você já tiver uma sessão ativa, a sessão existente será reutilizada e expirará sempre que a sessão existente expirar.
-
-
Com base no perfil que você configurou em seu arquivo
config, o Centro de Identidade do IAM assume os conjuntos de permissões apropriados, concedendo acesso às Contas da AWS e aplicativos relevantes. -
A AWS CLI, os SDKs e as ferramentas usam seu perfil assumido do IAM para fazer chamadas para os Serviços da AWS, Para criar buckets do Amazon S3, até que a sessão expire.
-
O token de acesso do Centro de Identidade do IAM é atualizado automaticamente a cada hora usando o token de atualização.
-
Se o token de acesso expirar, o SDK ou a ferramenta usará o token de atualização para tentar obter um novo token de acesso. As durações das sessões desses tokens são então comparadas e, se o token de atualização não expirar, o Centro de Identidade do IAM fornecerá um novo token de acesso.
-
Se o token de atualização tiver expirado, nenhum novo token de acesso será fornecido e sua sessão será encerrada.
-
-
As sessões terminam após a expiração dos tokens de atualização ou quando você se desconecta manualmente usando o comando
aws sso logout. As credenciais armazenadas em cache são removidas. Para continuar acessando os serviços usando o Centro de Identidade do IAM, você deve iniciar uma nova sessão usando o comandoaws sso login.
Recursos adicionais
Os recursos adicionais são os seguintes.
-
Definição da autenticação do Centro de Identidade do IAM com a AWS CLI
-
Tutorial: como usar o Centro de Identidade do IAM para executar comandos do Amazon S3 na AWS CLI
-
Configurações do arquivo de configuração e credenciais na AWS CLI
-
aws configure ssona Referência da AWS CLI versão 2 -
aws configure sso-sessionna Referência da AWS CLI versão 2 -
aws sso loginna Referência da AWS CLI versão 2 -
aws sso logoutna Referência da AWS CLI versão 2 -
Configuração para usar a AWS CLI com o CodeCatalyst no Guia do usuário do Amazon CodeCatalyst
-
Renomeação do Centro de Identidade do IAM no Guia do usuário do AWS IAM Identity Center
-
Escopos de acesso do OAuth 2.0 no Guia do usuário do Centro de Identidade do IAM
-
Definir a duração da sessão no Guia do usuário do AWS IAM Identity Center
-
Tutoriais de conceitos básicos no Guia do usuário do Centro de Identidade do IAM
